La menace des ransomware toujours aussi grave ?

Comprendre la menace du ransomware

Le premier ransomware date d’environ 35 ans (années 1990) et depuis ne cesse de se réinventer, se perfectionner, notamment via l’IA avec une finalité qui reste essentiellement le paiement d’une rançon.

Ainsi certaines attaques ont pour but de chiffrer vos données (et évidemment les sauvegardes de vos données), d’autres attaques procèdent au vol des données sensibles (informations de R&D, financières, des données personnelles , …) et menacent de les diffuser, avec des conséquences évidentes sur la réputation de l’entreprise et la confiance des clients.

Dans un cas, comme dans l’autre, l’objectif est  évidemment de toucher une rançon. Et il semble que cela fonctionne car, même si les chiffres varient d’une étude à l’autre, on considère qu’environ 50% des entreprises touchées payent la rançon.

Pourquoi les solutions de cybersécurité n’arrivent elles pas à éliminer ces menaces ?

Avec le renforcement des budgets de sécurité dans les entreprise, la question est légitime. La réponse est multiple.

  • L’obsolescence d’une partie du système d’information est un vecteur d’attaque important, car les anciens composants ne sont plus mis à jour et sont donc vulnérables.
  • La complexité des systèmes informatiques, qui sont notamment dues aux éditeur de logiciels, offrent de nombreux points d’entrée potentiels pour les attaquants. La sécurisation de tous ces points d’entrée est un défi constant, notamment avec le Cloud et les application en mode SaaS.
  • Evidemment l’erreur humaine reste une préoccupation importante, que ce soit des utilisateurs finaux ou les informaticiens, dans la non-application des règles de sécurité existantes … ou  l’absence de règles de sécurité explicites.
  • La question du budget sécurité reste évidemment d’actualité, la sécurité empêchant de perdre de l’argent mais n’en faisant pas gagner. Les Directions des entreprises préfèreront toujours investir dans des solutions numériques qui améliorent leurs relation client, la qualité de leur produit et service, qu’investir massivement dans la sécurité.

Le mirage de la protection absolue n’existe pas, il faut réfléchir à sa cyber-résilience

Donc oui, même avec une efficacité heureusement croissante, les solutions de cybersécurité n’arriveront pas à empêcher une attaque réussie et il est donc, plus que jamais nécessaire de réfléchir à sa cyber-résilience.

 

Les mesures clefs dans un contexte de Cyberattaque via Ransomware

Les 4 mesures critiques de reprise en cas de cyberattaque par ransomware

1 – Site de secours étanche et opérationnel

Disposer d’un site de secours étanche (Cloud ou On-Prem), isolé et préconfiguré qui garantisse de ne pas être affecté par les cyber incidents survenant sur le site principal. Il faut comprendre cela y compris dans le contexte où le cyber-attaquant a obtenu tous les accès administrateurs (par exemple en ayant accès au portefeuille des mots de passe informatique de l’entreprise)

Cela veut dire :

  • Rupture technologique par exemple sur l’hyperviseur utilisé : faire le choix d’un hyperviseur différent dans ce site de secours
  • S’active rapidement pour maintenir la continuité des opérations
  • Préserve l’intégrité des données critiques
  • Offre une solution de basculement sécurisée (pour cela il faut faire des tests réguliers)

2 – Sauvegarde des données inaltérables, immuables

Disposer d’un environnement isolé pour stocker une copie des sauvegardes des données qui soit inaltérables et immuables : impossibles à modifier et à supprimer.

Il s’agit de conserver une copie de recours séparée et hermétique (c’est-à-dire immuable et inaltérable) des données sécurisées derrière l’infrastructure d’un tiers. Ces données de sauvegarde doivent restent protégées contre les cybermenaces, y compris les ransomwares et les actions d’initiés malveillants

Par exemple, il faut garantir que même dans le cas où un attaquant a pris les droits d’un administrateur informatique, il ne puisse altérer les sauvegarde (en modifiant la durée de rétention, en pouvant supprimer les sauvegardes, …). Ce point est fondamental car les cyber attaquants ont compris l’importance d’attaquer les portefeuilles de mot de passe d’administration pour réaliser leurs attaques.

3 – Fiches réflexes, modes opératoires et CSIRT

Disposer de fiches réflexes, de mode opératoires décrivant les rôles et de processus pour la réponse aux cyber-incidents et permettant d’organiser la communication en période de crise.

Les fiches réflexes et mode opératoires testés fournissent des instructions étape par étape pour traiter différents types d’incidents, réduisant ainsi la confusion, le stress et le temps de réponse. Cette préparation accélère la récupération et aide à maintenir la continuité opérationnelle pendant et après les cyber-événements.

L’accès à des experts d’un CSIRT/CERT est évidemment un gros avantage dans ce type de crise pour réaliser des investigations en profondeur et aider à l’analyse du vecteur d’attaque et de la compromission réelle des serveurs et postes de travail.

 4 – Systèmes d’alerte contre les cybermenaces

Disposer de détection avancée des risques cyber, y compris les menaces internes.

Parmi les solutions classiquement utilisées :

  • Outils EDR (Endpoint Detection and Response)
  • Solutions SIEM (Security Information and Event Management)
  • Technologies de leurre (honeypots)
  • Systèmes de détection et prévention des intrusions (IDS/IPS)

Prise de contact Nuabee

65, rue Hénon
69004 Lyon
France
+33 (0)4 28 29 79 01
sales@nuabee.fr
Demande de devis - page accueil en haut à droite
Comment nous avez-vous connu ?
Quel est le type de projet à adresser ?